Назад към Начало / Общи условия/ Приложение за обработка на данни

Приложение за обработка на данни

 

Това приложение представлява неразделна част от договора и се сключва от:

 

  1. (i) Клиентът („ Износител на данни “)
  2. (ii) LISTREET („Импортер на данни “)

 

Всяка от тях е „ Партия “ и обикновено „ Парти “.

 

Преамбюл

КЪДЕ Вносителят на данни предоставя професионални софтуерни услуги, компютърни и свързани услуги;

КЪДЕТО съгласно Договора, Вносителят на данни се е съгласил да предоставя на Износителя на данни услугите, посочени в Договора („ Услугите “);

КЪДЕТО, чрез предоставяне на Услугите, Вносителят на данни получава или се възползва от достъп до информацията на Износителя на данни или информацията на други лица, имащи (потенциална) връзка с Износителя на данни, тази информация може да се квалифицира като лични данни по смисъла на Регламента (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на лицата по отношение на обработката на лични данни и за свободното движение на такива данни („ GDPR “) и други приложими закони за защита на данните.

КЪДЕ това приложение съдържа правилата и условията, приложими за събирането, обработката и използването на такива лични данни от Вносителя на данни в качеството му на упълномощен агент по обработка на данни на Износителя на данни, за да гарантира, че Страните спазват приложимото законодателство за защита на данните .

 

СЛЕДОВАТЕЛНО и за да позволят на страните да продължат законно отношенията си, страните сключиха настоящото допълнение, както следва:

Част 1

 

1. Структура на документа и дефиниции

1.1 Структура

Това приложение се състои от различни части, както следва:

 

Част 1:

съдържа общи разпоредби, напр. относно дефинициите, използвани в това приложение, съответствие с местните закони, срокове и прекратяване

Част 2:

съдържа основната част на непроменения документ за стандартни договорни клаузи

Приложение 1.1 на част 2:

съдържа подробности за операциите по обработване, предоставени от вносителя на данни на износителя на данни като упълномощен агент по обработване на данни (включително обработката, естеството и целта на обработката, вида на личните данни и категориите субекти на данни) съгласно този Приложение

Приложение 2 на част 2:

съдържа описание на техническите и организационни мерки за сигурност на вносителя на данни, които се прилагат във връзка с всички дейности по обработване, описани в допълнение 1.1 на част 2

част 3:

съдържа подписите на страните, които ще бъдат обвързани с това приложение и идентифицира всеки вносител на данни

 

1.2 Терминология и дефиниции

За целите на това приложение са приложими терминологията и дефинициите, използвани от GDPR (в текста на документа за стандартна договорна клауза в част 2, където определените термини не са изписани с главни букви). 

 

"Държава-членка"

означава държава, принадлежаща към Европейския съюз или Европейското икономическо пространство

„Специални категории (лични) данни“

отнася се до лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в профсъюз, и генетични данни, биометрични данни, ако се обработват с цел уникално идентифициране на лице, данни относно здравето, данни относно пола на дадено лице живот или сексуална ориентация

"Стандартни договорни клаузи"

означава Стандартните договорни клаузи за прехвърляне на лични данни на агенти по обработване, установени в трети държави, съгласно Решение 2010/87/ЕС на Комисията от 5 февруари 2010 г., което беше изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията на 16 февруари декември 2016 г

„Процесор за данни“??

означава всеки обработващ агент, намиращ се в или извън ЕС/ЕИП, който се съгласява да получи от вносителя на данни или всеки друг обработващ на вносителя на данни лични данни за изключителната цел на дейностите по обработване, които трябва да се извършват от износителя на данни след прехвърляне в съответствие с инструкциите на Износителя на данни, условията на това приложение и договора с вносителя на данни

 

 

2. Задължения на Износителя на данни

2.1 Износителят на данни има задължение да гарантира спазването на всички приложими задължения съгласно GDPR и всеки друг приложим закон за защита на данните, който се прилага за износителя на данни, и да докаже такова съответствие, както се изисква от член 5, параграф 2 от GDPR. Износителят на данни гарантира, че вносителят на данни е получил предварителното съгласие на субектите на данни в съответствие с член 6 (а) от GDPR и е спазил задължението си да информира субектите на данни в съответствие с членове 13 и 14 от GDPR.

2.2 Износителят на данни трябва да предостави на вносителя на данни съответните файлове на дейностите по обработване в съответствие с член 30, параграф 1 от GDPR, свързани с Услугите по настоящото приложение, доколкото е необходимо вносителят на данни да изпълни задължението по Член 30, параграф 2 от GDPR.

2.3 Износителят на данни трябва да назначи служител по защита на данните или представител до степента, изисквана от приложимото законодателство за защита на данните. Износителят на данни е длъжен да предостави данните за контакт на агента по защита на данните или представител, ако има такъв, на вносителя на данни.

2.4. Износителят на данни потвърждава преди завършване на обработката, с приемането на настоящото допълнение, че техническите и организационни мерки за сигурност на вносителя на данни, както са посочени в допълнение 2 към част 2, са подходящи и достатъчни за защита на правата на субекта на данните и потвърждава, че вносителят на данни предоставя достатъчни гаранции в това отношение.

 

3. Спазване на местното законодателство

За да се изпълнят изискванията за внедряване на агентите за обработка съгласно член 28 от GDPR, са приложими следните изменения:

 

3.1 Инструкции

  1. (i) Износителят на данни инструктира вносителя на данни да обработва лични данни само от името на Износителя на данни. Инструкциите на Износителя на данни са предоставени в това допълнение и в Договора. Износителят на данни има задължението да гарантира, че всички инструкции са дадени на вносителя на данни в съответствие с приложимите закони за защита на данните. Вносителят на данни трябва да обработва лични данни само в съответствие с инструкциите, предоставени от Износителя на данни, освен ако не се изисква друго от Европейския съюз или законодателството на държавата-членка (в последния случай се прилага част 1, клауза 3.2 (iv) (c) .
  2. (ii) Всички други инструкции, надхвърлящи инструкциите в настоящото допълнение или в договора, трябва да бъдат включени в предмета на настоящото допълнение и договора. Ако прилагането на тази допълнителна инструкция включва разходи за вносителя на данни, вносителят на данни информира износителя на данни за тези разходи и предоставя обяснение, преди да приложи инструкцията. Едва след като износителят на данни потвърди приемането на тези разходи за изпълнение на инструкцията, вносителят на данни изпълнява тази допълнителна инструкция. Износителят на данни трябва да даде допълнителни инструкции в писмен вид, освен ако спешност или други специфични обстоятелства не изискват друга форма (напр. устна, електронна). Инструкциите във форма, различна от писмена, трябва да бъдат потвърдени писмено и незабавно от Износителя на данни.
  3. 1. Освен ако Износителят на данни не може сам да извърши коригирането, изтриването или ограничаването на лични данни, инструкциите могат също да се отнасят до коригирането, изтриването и/или ограничаването на лични данни, както е посочено в част 1, клауза 3.3.
  4. 2. Вносителят на данни трябва незабавно да информира Износителя на данни, ако по негово мнение дадена инструкция нарушава GDPR или други приложими разпоредби за защита на данните на Европейския съюз или държава-членка („ Оспорена инструкция"). Ако вносителят на данни смята, че дадена инструкция нарушава GDPR или други приложими разпоредби за защита на данните на Европейския съюз или държава-членка, вносителят на данни не е длъжен да следва оспорената инструкция. Ако износителят на данни потвърди оспорваната инструкция при получаване на информация от вносителя на данни и признава своята отговорност за оспорената инструкция, вносителят на данни изпълнява оспорваната инструкция, освен ако оспорваната инструкция не се отнася до (i) прилагането на технически и организационни мерки, (ii) правата на данните Субекти или (iii) ангажиране на обработващи данни В случаите (i) до (iii), вносителят на данни може да се свърже с компетентен надзорен орган, за да бъде оспорената Инструкция законно оценена от този орган.Ако надзорният орган обяви оспорената инструкция за законна, вносителят на данни изпълнява оспорената инструкция. Част 1, клауза 3.1 (ii) остава приложима.

 

3.2 Задължения на вносителя на данни

  1. (i) Вносителят на данни трябва да гарантира, че лицата, упълномощени от Вносителя на данни да обработват лични данни от името на Износителя на данни, по-специално служителите на вносителя на данни и служителите на всеки Подизпълнител, са се задължили да спазват поверителността или са обект на подходящо законово задължение за поверителност и че лицата, които имат достъп до лични данни, ги обработват в съответствие с инструкциите на Износителя на данни.
  2. (ii) Вносителят на данни трябва да приложи техническите и организационни мерки за сигурност, както са посочени в допълнение 2 към част 2, преди да обработва личните данни от името на износителя на данни. Вносителят на данни може да променя техническите и организационните мерки за сигурност от време на време, ако те не осигуряват по-малко защита от тези, посочени в допълнение 2 към част 2.
  3. (iii) Вносителят на данни предоставя на разположение на Износителя на данни, при поискване от Износителя на данни, информация, за да покаже съответствието със задълженията на Вносителя на данни съгласно настоящото допълнение. Страните се съгласяват, че това задължение за информация се изпълнява, като предоставят на Износителя на данни одитен доклад (покриващ сигурността на принципите, наличността на системата и поверителността) („Одиторски доклад“). Ако законово се изискват допълнителни одитни дейности, Износителят на данни може да поиска извършването на проверки от Износителя на данни или друг одитор, назначен от Износителя на данни, при условие че този одитор сключи споразумение за поверителност с Вносителя на данни към вносителя на данни разумно удовлетворение ("Одит"). Този одит е предмет на следните условия:(i) предварителното официално писмено приемане на вносителя на данни; и (ii) Износителят на данни поема всички разходи, свързани с одита на място за Износителя на данни и Вносителя на данни. Износителят на данни трябва да създаде одитен доклад, обобщаващ резултатите и наблюденията от одита на място („Доклад от одита на място“). Докладите за одит на място и одитните доклади са поверителна информация на вносителя на данни и не трябва да се разкриват на трети страни, освен ако не се изисква от приложимото законодателство за защита на данните или в съответствие със съгласието на вносителя на данни.Докладите за одит на място и одитните доклади са поверителна информация на вносителя на данни и не трябва да се разкриват на трети страни, освен ако не се изисква от приложимото законодателство за защита на данните или в съответствие със съгласието на вносителя на данни.Докладите за одит на място и одитните доклади са поверителна информация на вносителя на данни и не трябва да се разкриват на трети страни, освен ако не се изисква от приложимото законодателство за защита на данните или в съответствие със съгласието на вносителя на данни.
  4. (iv) Вносителят на данни има задължение да уведоми Износителя на данни без ненужно забавяне:
    1. а. по отношение на всяко правно обвързващо искане за разкриване на лични данни от правоприлагащ орган, освен ако не е забранено друго, като например забрана по наказателното право за защита на поверителността на разследване на правоприлагащите органи
    2. б. по отношение на всяка жалба и искане, получени директно от субект на данни (напр. относно достъп, коригиране, изтриване, ограничаване на обработката, преносимост на данни, възражение срещу обработката на данни, автоматизирано вземане на решения), без да се отговори на това искане, освен ако вносителят на данни е упълномощен да Направи го
    3. ° С. ако вносителят на данни или обработващият данни е задължен, съгласно законодателството на Европейския съюз или на държавата-членка, на която е обект на вносителя на данни или обработващия данни, да обработва личните данни извън инструкциите на износителя на данни, преди да извърши такова обработване извън инструкциите, освен ако законите на Европейския съюз или на държавата-членка забраняват такова обработване по съображения от жизненоважен обществен интерес, като в този случай нотификацията до Износителя на данни посочва правното изискване съгласно този закон на Европейския съюз или на държавата-членка; или
    4. д. ако вносителят на данни осъзнае нарушение на лични данни, единствено заради себе си или неговия подизпълнител, което би засегнало личните данни на износителя на данни, обхванати от настоящия договор, в който случай вносителят на данни ще съдейства на износителя на данни в неговото задължение, vis-Ã -vis приложимото законодателство за защита на данните, да информира субектите на данни и, когато е приложимо, надзорните органи, като предостави информацията, с която разполага, в съответствие с член 33, параграф 3 от GDPR.
    5. (v) По искане на Износителя на данни, Вносителят на данни е принуден да съдейства на Износителя на данни в задължението му да извърши оценка на въздействието върху защитата на данните, която може да се изисква от член 35 от GDPR и предварителна консултация, която може да бъде изисквани от член 36 от GDPR относно услугите, предоставяни от Вносителя на данни на Износителя на данни съгласно настоящото приложение, като предоставя необходимата и информация на Износителя на данни. Вносителят на данни ще бъде задължен да предостави такава помощ само ако износителят на данни не може да изпълни задължението си по друг начин. Вносителят на данни ще уведоми Износителя на данни за цената на такава помощ. Веднага след като износителят на данни потвърди, че може да поеме тези разходи, вносителят на данни ще предостави на износителя на данни тази помощ.
    6. (vi) В края на предоставянето на услугите Износителят на данни може да поиска връщане на личните данни, обработени от Вносителя на данни съгласно настоящото приложение, в рамките на един месец след извършването на услугите. Освен ако законодателството на държавата-членка или на Европейския съюз изисква от вносителя на данни да съхранява или запазва такива лични данни, вносителят на данни ще изтрие всички такива лични или нелични данни след едномесечния период, независимо дали са били върнати на износител на данни по негово искане или не.

 

3.3 Права на заинтересованите лица

  1.  
    1. (i) Износителят на данни управлява и отговаря на искания, отправени от субектите на данни. Вносителят на данни не е длъжен да отговаря директно на субектите на данни.
    2. (ii) Ако износителят на данни се нуждае от съдействието на вносителя на данни при обработката и отговора на исканията на субекта на данни, износителят на данни издава допълнителна инструкция в съответствие с клауза 3.1 (ii) от част 1. Вносителят на данни ще съдейства на износителя на данни със следните подходящи и технически организационни мерки за отговор на исканията за упражняване на правата на субектите на данни, посочени в глава III от GDPR, както следва:
    3. а. По отношение на искания за информация, Вносителят на данни ще предостави на Износителя на данни само информацията, изисквана от членове 13 и 14 от PGRD, която може да има на свое разположение, ако Износителят на данни не може да я намери сам.
    4. б. По отношение на исканията за достъп (член 15 от GDPR), вносителят на данни ще предостави на износителя на данни само информацията, която се предполага да бъде предоставена на субект на данни за посоченото искане за достъп, с която може да разполага, ако последният не може да го намери сам.
    5. ° С. По отношение на искания за поправка (член 16 от GDPR), искания за изтриване (член 17 от GDPR), ограничаване на искания за обработка (член 18 от GDPR) или искания за преносимост (член 20 от GDPR) и само ако Износителят на данни не може сам да коригира или изтрие, ограничи или предаде личните данни на друга трета страна, Вносителят на данни ще предложи на Износителя на данни възможността да коригира или изтрие, ограничи или предаде съответните лични данни на другата трета страна, или ако това не е възможно, ще предостави съдействие за коригиране или изтриване, ограничаване или предаване на другата трета страна на съответните лични данни.
    6. д. По отношение на уведомлението, свързано с коригиране, изтриване или ограничаване на обработката (член 19 от GDPR), вносителят на данни ще съдейства на износителя на данни, като уведоми всички получатели на лични данни, ангажирани от вносителя на данни като обработващи, ако износителят на данни поиска и ако износителят на данни не може сам да поправи ситуацията.
    7. д. По отношение на правото на възражение, упражнявано от субект на данни (членове 21 и 22 от GDPR), износителят на данни ще определи дали възражението е легитимно и как да се справи с него.
    8. (iii) Задълженията за съдействие на вносителя на данни са ограничени до лични данни, обработвани в рамките на неговата инфраструктура (напр. бази данни, системи, приложения, притежавани или предоставени от вносителя на данни).
    9. (iv) Износителят на данни определя дали субектът на данни може да упражнява правата на субектите на данни, посочени в клауза 3.1 от тази част 1, и уведомява вносителя на данни за степента, до която помощта, посочена в клаузи 3.3 (ii), ( iii) от част 1 е необходимо.
    10. (v) Ако износителят на данни поиска допълнителни или модифицирани технически и организационни мерки за спазване на правата на субектите на данни, които надхвърлят помощта, предоставена от вносителя на данни съгласно подклауза 3.3 (ii), (iii) от част 1, данните Вносителят информира Износителя на данни за разходите по прилагането на такива допълнителни или модифицирани технически и организационни мерки. Веднага след като Износителят на данни потвърди, че може да поеме тези разходи, Вносителят на данни ще приложи такива допълнителни или модифицирани технически и организационни мерки, за да помогне на Износителя на данни да отговори на исканията на субектите на данни.
    11. (vi) Без да ограничава обхвата на клауза 3.3 (v) от част 1, износителят на данни е длъжен да възстанови на вносителя на данни неговите разумни разходи, направени в отговор на исканията на субектите на данни.

 

3.4 Подобработка

  1.  
    1. (i) Износителят на данни разрешава от Вносителя на данни да използва подизпълнители за предоставяне на услуги съгласно настоящото допълнение. Вносителят на данни трябва внимателно да избере такъв(и) обработващ(и) данни. Износителят на данни одобрява обработващия(ите) данни(и), изброени в Приложение 1.1 в края на част 2.
    2. (ii) Вносителят на данни прехвърля задълженията си по настоящото допълнение към обработващия(ите) данни(и) до степента, която е приложима за услугите, възложени на подизпълнител.
    3. (iii) Вносителят на данни може да уволни, замени или назначи друг подходящ и надежден обработващ данни(и) по своя преценка. Ако това бъде поискано писмено от Износителя на данни, Вносителят на данни трябва да следва процедурата, посочена по-долу:
  1.  
    1. а. Вносителят на данни информира Износителя на данни преди всякакви промени в списъка на обработващите данни, посочени в клауза 3.4 (i) от част 1. Ако износителят на данни не възрази по клауза 3.4. (б) от част 1 тридесет дни след получаване на уведомление от вносителя на данни, допълнителните обработващи данни се считат за приети.
    2. б. Ако Износителят на данни има основателна причина да възрази срещу допълнителен обработващ данни, той ще изпрати предварително писмено уведомление до Вносителя на данни в рамките на тридесет дни след получаване на уведомлението на Вносителя на данни и преди услугата на Вносителя на данни да бъде пусната в експлоатация. Ако Износителят на данни възрази срещу използването на допълнителен процесор на данни, Вносителят на данни може да отстрани възражението чрез една от следните опции (избрани по негова преценка): (A) Вносителят на данни ще отмени плановете си да използва допълнителен процесор по отношение лични данни на Износителя на данни; (B) Вносителят на данни ще предприеме коригиращите мерки, поискани от Износителя на данни в неговото възражение (отмяна на възражението) и ще използва допълнителния процесор по отношение на личните данни на Износителя на данни;(В) Вносителят на данни може да спре да предоставя или Износителят на данни може да се съгласи да не използва (временно или постоянно) определен аспект на услугата, който би включвал използването на личните данни на Износителя на данни от по-нататъшния обработващ от Износителя на данни.
  2.  
    1. (iv) ако обработващият данни е базиран извън ЕС-ЕИП в страна, която не е призната като предлагаща адекватно ниво на защита на данните след решение на Европейската комисия, вносителят на данни ще предприеме мерките за спазване на адекватно ниво на защита на данните в съответствие с GDPR (такива мерки могат да включват - наред с другото и - използване на договори за обработка на данни въз основа на клаузите на модела на ЕС, прехвърляне на самосертифицирани обработващи данни в рамките на Щита за защита на ЕС-САЩ , или подобна програма).

 

3.5 Изтичане

Изтичането на това приложение е идентично с датата на изтичане на съответния договор. Освен ако не е предвидено друго в това допълнение, правата и задълженията, свързани с прекратяването, са същите като тези, съдържащи се в Договора.

 

4. Ограничение на отговорността

4.1 Всяка страна изпълнява задълженията си по това приложение и приложимото законодателство за защита на данните.

4.2 Всяка отговорност, свързана с нарушаване на задълженията по настоящото допълнение или приложимото законодателство за защита на данните, се подчинява и се урежда от разпоредбите за отговорност, посочени в или приложими към Договора, освен ако в настоящото допълнение не е предвидено друго. Ако отговорността се урежда от разпоредбите за отговорност, определени в или приложими към Договора, за изчисляване на лимити на отговорност или определяне на прилагането на други ограничения на отговорността, всяка отговорност, произтичаща от това допълнение, ще се счита за възникнала съгласно Договора.

 

5. Общи положения

5.1 Ако има някакви несъответствия или несъответствия между части 1 и 2 от настоящото допълнение, част 2 има предимство. По-конкретно, дори в такъв случай, част 1, която просто надхвърля част 2 (т.е. условията на стандартните клаузи), без да й противоречи, остава валидна.

5.2 Ако възникне несъответствие между разпоредбите на това приложение и тези на други договори, обвързващи страните, настоящото допълнение има предимство по отношение на задълженията на страните за защита на данните. В случай на съмнение дали клаузи в други договори засягат задълженията на страните за защита на данните, настоящото допълнение има предимство.

5.3 Ако някоя разпоредба на това допълнение е невалидна или неприложима, останалата част от това допълнение остава в пълна сила и действие. Невалидната или неприложима разпоредба ще бъде (i) изменена, за да се гарантира нейната валидност и приложимост, като се запазва, доколкото е възможно, намерението на страните, или - ако това не е възможно - (ii) се тълкува така, сякаш недействителната или неприложима част е била никога не е бил част от договора. Горното се прилага и ако има пропуск в това допълнение.

5.5 Доколкото е необходимо, страните могат да поискат изменения на част 1, клауза 3 (Съответствие с местното законодателство) или други части на приложението, за да се съобразят с тълкуванията, директивите или заповедите, издадени от компетентните органи на Съюза или Държави-членки, национални разпоредби за прилагане или всякакви други правни промени относно GDPR или други условия за делегиране на субекти, участващи в обработката на данни и по-специално по отношение на използването на Стандартните договорни клаузи в GDPR. Условията на Стандартните договорни клаузи не могат да бъдат променяни или заменени, освен ако Европейската комисия не го одобри изрично (напр. чрез нови подходящи клаузи и стандарти за защита на данните).

5.6 Всяко позоваване в това приложение на „клаузите“ се разбира като препращане към всички разпоредби на това допълнение, освен ако не е посочено друго.

5.7 Изборът на право в част 2, клауза 9 се прилага за целия Договор.

 

6.  Лични данни, предавани и обработвани от страните за лични цели (прехвърляне от администратора на лични данни към администратора на лични данни)

6.1 Страните знаят напълно, че определени лични данни ще бъдат прехвърлени от Износителя на данни към Вносителя на данни и обратно, и че тези данни се обработват от всяка страна за нейни собствени цели. По отношение на такива лични данни, те не засягат другите разпоредби на това приложение (с изключение на тази клауза 6).

6.2 Износителят на данни може да прехвърля лични данни, отнасящи се до персонала на вносителя на данни, към вносителя на данни, включително информация за инциденти със сигурността, или всякакви други документи или файлове, създадени или създадени от Износителя на данни във връзка с Услугите, предоставяни от персонала на вносителя на данни. Вносителят на данни може да обработва такива лични данни за свои собствени цели, по-специално в професионалните си отношения с персонала на вносителя на данни, за контрол и обучение на качеството или за бизнес цели.

6.3. Вносителят на данни може да прехвърли лични данни на Износителя на данни, включително името и данните за контакт на персонала на вносителя на данни. Износителят на данни може да обработва такива лични данни за свои собствени цели.

6.4 И двете страни ще спазват всички приложими закони за защита на данните, включително GDPR, при събирането, обработката и използването на такива лични данни, получени от другата страна съгласно клауза 1 от част 1. По-специално, двете страни предприемат адекватни мерки за сигурност, осигурявайки ниво на защита, подобно на мерките за сигурност, посочени в допълнение 2 на част 2. Всеки достъп до такива лични данни се ограничава до необходимостта от познаването им.

6.5 И двете страни трябва да изтрият такива лични данни възможно най-скоро след постигане на целите.

Част 2

 

РЕШЕНИЕ НА КОМИСИЯТА

на 5 февруари 2010 г

относно стандартни договорни клаузи за предаване на лични данни на обработващи данни, установени в страни трети страни съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета

 

 

 

клауза 1

Определения

По смисъла на клаузите:

а) „лични данни“, „специални категории данни“, „обработване/обработване“, „администратор“, „обработващ“, „субект на данни“ и „надзорен орган“ имат същото значение като в 95/46/ЕО Директива на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на лицата по отношение на обработката на лични данни и за свободното движение на такива данни (1);

б) „Износител на данни“ е администраторът на данни, който прехвърля личните данни;

в) „Вносител на данни“ е обработващият данни, който се съгласява да получи от Износителя на данни лични данни, предназначени да бъдат обработени от името на Износителя на данни след прехвърлянето в съответствие с неговите инструкции и съгласно условията на тези клаузи и който не е предмет на механизма на трета страна, осигуряващ адекватна защита по смисъла на член 25, параграф 1 от Директива 95/46/ЕО; (г) „Обработващ данни“ означава обработващият данни, ангажиран от Вносителя на данни или от всеки друг обработващ данни на Вносителя на данни, който се съгласява да получава от Вносителя на данни или всеки друг обработващ данни на Вносителя на данни лични данни изключително за дейности по обработване за да бъде извършено от името на Износителя на данни след прехвърлянето в съответствие с инструкциите на Износителя на данни,при условията, посочени в тези клаузи и при условията на писменото подизпълнение на договора за обработка на данни;

д) „приложимо законодателство за защита на данните“ означава законодателството, което защитава основните права и свободи на физическите лица, включително правото на неприкосновеност на личния живот по отношение на обработката на лични данни и се прилага спрямо администратор в държавата-членка, където е установен износителят на данни;

е) "технически и организационни мерки, свързани със сигурността" означава мерки, предназначени за защита на личните данни срещу случайно или незаконно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, по-специално когато обработването включва предаване на данни през мрежи, и срещу всички други незаконни форми на обработка.

клауза 2

Подробности за трансфера

Подробностите за трансфера, включително, когато е уместно, специални категории лични данни, са посочени в Приложение 1, което е неразделна част от тези клаузи.

клауза 3

Клауза за трето лице бенефициент

1. Субектът на данни може да наложи срещу Износителя на данни тази клауза, клауза 4(b) до (i), клауза 5(a) до (e) и (g) до (j), клауза 6 (1) и (2 ), клауза 7, клауза 8(2) и клаузи от 9 до 12 като бенефициент трета страна

2. Субектът на данните може да наложи тази клауза, клауза 5 (а) до (д) и (ж), клауза 6, клауза 7, клауза 8 (2) и клауза 9 до 12 срещу вносителя на данни, когато износителят на данни е физически е изчезнал или е престанал да съществува по закон, освен ако всички негови правни задължения не са били прехвърлени, по договор или по силата на закона, на правоприемника, към който следователно се връщат правата и задълженията на Износителя на данни и срещу който данните следователно субектът може да приложи посочените клаузи.

Субектът на данните може да наложи тази клауза, клауза 5 (а) до (д) и (g), клауза 6, клауза 7, клауза 8 (2) и клауза 9 до 12 срещу обработващия данни, но само в случаите, когато данните Износителят и Вносителят на данни физически са изчезнали, престанали да съществуват по закон или са станали неплатежоспособни, освен ако всички правни задължения на Износителя на данни не са прехвърлени по договор или по силата на закона на правоприемника, на когото правата и следователно задълженията на Износителя на данни са възложени и срещу когото субектът на данните може следователно да наложи такива клаузи. Такава отговорност на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработване съгласно тези клаузи.

4. Страните не възразяват субектът на данните да бъде представляван от сдружение или друг орган, ако той или тя желае това и ако националното законодателство позволява това.

клауза 4

Задължения на износителя на данни

Износителят на данни приема и гарантира следното:

а) обработването, включително действителното предаване на лични данни, е било и ще продължи да се извършва в съответствие със съответните разпоредби на приложимото законодателство за защита на данните (и, когато е приложимо, е било уведомено до компетентните органи на държавата-членка в която се намира Износителят на данни) и не нарушава съответните разпоредби на тази държава;

б) те са инструктирали и ще инструктират по време на услугите по обработване на лични данни на Вносителя на данни да обработва личните данни, прехвърлени от единственото име на Износителя на данни и в съответствие с приложимото законодателство за защита на данните и тези клаузи;

в) вносителят на данни ще осигури достатъчни гаранции по отношение на техническите и организационни мерки за сигурност, посочени в допълнение 2 към настоящия договор;

г) след оценка на изискванията на приложимото законодателство за защита на данните, мерките за сигурност са достатъчни за защита на личните данни срещу случайно или незаконно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, особено когато обработването включва предаване на данни по мрежа и срещу всички други незаконни форми на обработка и да гарантират ниво на сигурност, подходящо за рисковете, представлявани от обработването и естеството на данните, които трябва да бъдат защитени, като се има предвид нивото на технологията и разходите за внедряване;

д) ще гарантират спазването на мерките за сигурност;

е) ако прехвърлянето се отнася до специални категории данни, субектът на данните е бил информиран или ще бъде информиран преди трансфера или възможно най-скоро след прехвърлянето, че неговите или нейните данни могат да бъдат прехвърлени на трета страна, която не предлага адекватно ниво на защита по смисъла на Директива 95/46/ЕО;

ж) ще препратят всяко уведомление, получено от вносителя на данни или който и да е обработващ данни съгласно клаузи 5 (б) и 8 (3) до надзорния орган за защита на данните, ако той реши да продължи прехвърлянето или да отмени спирането му;

з) предоставят на субектите на данни, ако те поискат, копие от тези клаузи, с изключение на допълнение 2, и обобщено описание на мерките за сигурност, както и копие от всяко допълнително споразумение за подизпълнители, сключено съгласно тези клаузи, освен ако Клаузите или споразумението съдържат търговска информация, в който случай той може да оттегли такава информация;

i) в случай на подизпълнение на процеса на обработка на данни, дейността по обработване се извършва в съответствие с клауза 11 от обработващ данни, осигуряващ поне същото ниво на защита на личните данни и правата на субекта на данни като вносителя на данни съгласно тези клаузи ; и

й) ще осигури съответствие с клауза 4 (а) до (i).

клауза 5

Задължения на вносителя на данни

Вносителят на данни приема и гарантира следното:

а) ще обработват личните данни само от името на Износителя на данни и съгласно инструкциите на Износителя на данни и тези клаузи; ако не може да се съобрази по някаква причина, те се съгласяват да информират Износителя на данни за невъзможността си възможно най-скоро, като в този случай Износителят на данни може да спре трансфера на данни и/или да прекрати договора;

б) нямат причина да вярват, че приложимото за тях право му пречи да изпълни инструкциите, дадени от Износителя на данни, и задълженията, поети от него по договора, и ако този закон подлежи на промяна, която може да има съществени неблагоприятни последици ефект върху гаранциите и задълженията по клаузите, той уведомява Износителя на данни за промяната незабавно, след като узнае за нея, като в този случай Износителят на данни може да спре прехвърлянето на данни и/или да прекрати договора; в) са приложили техническите и организационни мерки за сигурност, посочени в допълнение 2, преди да обработват прехвърлените лични данни;

г) те ще уведомят незабавно Износителя на данни:

и) всяко обвързващо искане за разкриване на лични данни от правоприлагащ орган, освен ако не е посочено друго, като наказателна забрана, насочена към запазване на тайната на полицейско разследване;

ii) всеки случаен или неоторизиран достъп; и

iii) всяко искане, получено директно от заинтересованите лица, без да се отговори на него, освен ако той не е упълномощен за това; администратори

д) ще се справят своевременно и правилно с всички запитвания от Износителя на данни относно неговата обработка на прехвърляните лични данни и ще действат според мнението на надзорния орган по отношение на обработката на прехвърлените данни;

е) по искане на Износителя на данни, те ще подложат своите съоръжения за обработка на данни на одит на дейностите по обработване, обхванати от тези клаузи, който трябва да се извърши от Износителя на данни или от надзорен орган, съставен от независими членове с необходимата професионална квалификация, предмет на задължение за запазване на тайна и избран от Износителя на данни, когато е уместно със съгласието на надзорния орган;

ж) те ще предоставят на субекта на данните, ако той поиска това, копие от тези клаузи или всяко съществуващо подизпълнение на договора за обработка на данни, освен ако клаузите или договорът не съдържат търговска информация, в който случай може да премахне такава информация, с изключение на Приложение 2, което ще бъде заменено с обобщено описание на мерките за сигурност, когато субектът на данните не може да получи копие от Износителя на данни;

з) в случай на поверително по-нататъшно възлагане на подизпълнители за обработка на данни, той ще гарантира, че информира предварително Износителя на данни и ще получи писменото съгласие на Износителя на данни;

i) услугите по обработване, предоставяни от обработващия данни, трябва да отговарят на клауза 11;

j) те незабавно ще изпратят на Износителя на данни копие от всяко подизпълнение на споразумението за обработка на данни, сключено от него съгласно тези клаузи.

клауза 6

Отговорност

1. Страните се съгласяват, че всеки субект на данни, който е претърпял вреди поради нарушаване на задълженията, посочени в клауза 3 или клауза 11 от една страна или от обработващ данни, може да получи обезщетение от износителя на данни за претърпените вреди.

2. Ако субектът на данни е възпрепятстван да предяви иск за вреди, посочен в параграф 1, срещу Износителя на данни за неизпълнение от страна на вносителя на данни или неговия обработващ данни на някое от задълженията си по клауза 3 или клауза 11, тъй като данните Износителят е изчезнал физически, престанал да съществува по закон или е станал неплатежоспособен, Вносителят на данни се съгласява, че субектът на данни може да подаде жалба срещу него, сякаш е Износител на данни, освен ако всички законови задължения на Износителя на данни не са прехвърлени по договор или по силата на закона на неговия правоприемник, срещу който субектът на данните може след това да наложи правата си. Вносителят на данни не може да разчита на нарушаване на задълженията си от страна на обработващ данни, за да избегне собствената си отговорност.

3. Ако субектът на данни е възпрепятстван да предяви действието, посочено в параграфи 1 и 2 срещу Износителя на данни или Вносителя на данни за нарушаване от страна на обработващия данни на задълженията му по клауза 3 или клауза 11, тъй като износителят на данни и вносителят на данни са изчезнали физически, са престанали да съществуват по закон или са станали неплатежоспособни, обработващият данни се съгласява субектът на данни да подаде жалба срещу него относно собствените си дейности по обработване в съответствие с тези клаузи, сякаш е Износител на данни или Вносител на данни, освен ако всички правните задължения на Износителя на данни или Вносителя на данни са прехвърлени, по договор или по силата на закон, на правоприемника, срещу когото субектът на данни може след това да отстоява правата си.Отговорността на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработване в съответствие с тези клаузи.

 

клауза 7

Медиация и юрисдикция

1. Вносителят на данни се съгласява, че ако съгласно клаузите субектът на данните се позовава срещу него на правото на третото лице бенефициент и/или претендира обезщетение за претърпените вреди, той ще приеме решението на субекта на данните:

а) да подложи спора на медиация от независимо лице или, когато е уместно, от надзорния орган;

б) да отнесе спора пред съдилищата на държавата-членка, в която се намира износителят на данни.

2. Страните се съгласяват, че изборът, направен от субекта на данните, не засяга процесуалното или материалното право на субекта на данните да получи обезщетение в съответствие с други разпоредби на националното или международното право.

клауза 8

Сътрудничество с надзорните органи

1. Износителят на данни се съгласява да депозира копие от настоящия договор при надзорния орган, ако последният го изисква или ако такова депозиране е предвидено от приложимото законодателство за защита на данните.

2. Страните се съгласяват, че надзорният орган може да извършва проверки при вносителя на данни и всеки обработващ данни в същата степен и при същите условия, както при проверките, извършвани при износителя на данни в съответствие с приложимото законодателство за защита на данните.

3. Вносителят на данни информира Износителя на данни възможно най-скоро за съществуването на законодателство относно вносителя на данни или който и да е обработващ данни, което възпрепятства проверката при вносителя на данни или който и да е обработващ данни в съответствие с параграф 2. В такъв случай, Износителят на данни може да предприеме мерките, предвидени в клауза 5 (б).

клауза 9

Приложим закон

Клаузите се прилагат и се уреждат от законодателството на държавата-членка, в която се намира износителят на данни.

клауза 10

Изменение на договора

Страните се задължават да не променят настоящите клаузи. Страните остават свободни да включват други търговски клаузи, които считат за необходими, при условие че не противоречат на настоящите клаузи.

клауза 11

Последващо подизпълнение

1. Вносителят на данни не възлага на подизпълнител нито една от дейностите си по обработване, извършени от името на Износителя на данни съгласно тези клаузи, без предварителното писмено съгласие на Износителя на данни. Вносителят на данни възлага на подизпълнители задълженията си по тези клаузи, само със съгласието на Износителя на данни, чрез писмено споразумение с обработващия данни, което налага на обработващия данни същите задължения като тези, наложени на Вносителя на данни съгласно тези клаузи. Ако обработващият данни не може да изпълни задълженията си за защита на данните съгласно това писмено споразумение, вносителят на данни остава изцяло отговорен пред Износителя на данни за изпълнението на тези задължения.

2. Предварителното писмено споразумение между вносителя на данни и обработващия данните включва също клауза за трета страна бенефициер, както е посочено в клауза 3 за случаите, когато субектът на данните е възпрепятстван да предяви иска за обезщетение, посочено в клауза 6 (1 ), срещу Износител на данни или Вносител на данни, тъй като Износителят на данни или Вносителят на данни е изчезнал физически, е престанал да съществува по закон или е станал неплатежоспособен и всички законови задължения на Износителя на данни или Вносителя на данни не са били прехвърлени, по договор или чрез операция по закон на друг правоприемник. Отговорността на обработващия данни трябва да бъде ограничена до неговите собствени дейности по обработване в съответствие с тези клаузи.

3. Разпоредбите, отнасящи се до аспектите на защитата на данните при възлагането на подизпълнители за обработка на данни на договора, посочен в параграф 1, се уреждат от правото на държавата-членка, в която е установен износителят на данни.

4. Износителят на данни поддържа списък на подизпълнителите на споразуменията за обработка на данни, сключени съгласно тези клаузи и нотифицирани от вносителя на данни в съответствие с клауза 5 (й), който се актуализира най-малко веднъж годишно. Този списък се предоставя на надзорния орган за защита на данните на износителя на данни.

клауза 12

Задължение след прекратяване на услугите по обработка на лични данни

1. Страните се съгласяват, че след приключване на услугите по обработка на данни, вносителят на данни и обработващият данни, при удобство на износителя на данни, ще върнат всички прехвърлени лични данни и техните копия на износителя на данни или ще унищожат всички такива данни и ще предоставят доказателство унищожаването на Износителя на данни, освен ако законодателството, наложено на Вносителя на данни, не му позволява да върне или унищожи всички или част от прехвърлените лични данни. В този случай вносителят на данни гарантира, че ще гарантира поверителността на прехвърлените лични данни и че повече няма да обработва активно данните.

2. Вносителят на данни и обработващият данни гарантират, че ако това бъде поискано от износителя на данни и/или надзорния орган, те ще подложат своите средства за обработка на данни на проверка на мерките, посочени в параграф 1.

 

 

 

 

Допълнение 1.1 към част 2

Подробности за трансфера

 

 

Износител на данни

Износителят на данни е Клиентът, определен в Договорното споразумение.

 

Импортер на данни

Импортерът на данни е LISTREET и е назначен да обработва данните, като предоставя услуги на Износителя на данни.

 

Субекти на данните

Предадените лични данни се отнасят до следните категории субекти на данни:

â˜?? телефонни абонати, изброени в универсалния указател

â˜' Други, включително:

 

Категории данни

Предадените лични данни се отнасят до следните категории данни:

 

Категории лични данни на субектите на данни на Износителя на данни по-специално,

â˜?? Пълно име

â˜' Пощенски адрес

â˜?? Данни за контакт (имейл, телефон, IP адрес и др.)

â˜?? Подробности за маркетингови дейности по отношение на телефонния абонат

â˜' Други, включително типа жилище, доходите и средната възраст от града, направени анонимно

 

Специални категории данни (ако е приложимо)

Предадените лични данни се отнасят до следните специални категории данни:

â˜' Не се предвижда прехвърляне на специални категории данни

â˜?? Раса или етнически произход

â˜?? Религиозни или философски вярвания

â˜?? Синдикално членство

â˜?? Политически възгледи

â˜?? Генетична информация

â˜?? Биометрична информация

â˜?? Информация за сексуалната ориентация или сексуалния живот

â˜?? Здравни данни

 

Дейности по обработка

Предадените лични данни ще бъдат предмет на следните основни дейности по обработване:

 

  •  
    • •  Цел на обработката

Обработката, предприета от името на Износителя на данни, се основава на следните теми, по-специално:

â˜' Поемане на отговорност за продуктите или услугите, предлагани от Износителя на данни

â˜' Офертата на продукт или услуга, която обаденото лице може да поиска

â˜' Поръчки, взети от лицата, които се обаждат и по-нататъшна обработка на тези поръчки

â˜' Въпросници и анализи за проучване

Телемаркетинг

â˜?? Други, включително:

 

  •  
    • •  Същност и цел на обработката

Вносителят на данни обработва личните данни на субектите на данни от името на Износителя на данни, за да предостави следните услуги, и най-вече:

  • â˜' Автоматично попълване на формуляра
  • â˜' Формуляр за валидиране на адреси

â˜' Продажби и маркетинг

â˜' Други, включително актуализиране на бази данни на кметства и политически партии

 

  •  
    • •  Предоставяне на услуги и наемане на работа на доставчици на услуги

 

LISTREET основно комбинира, централизира и предоставя услуги на Износителя на данни. Услугите, предоставяни от посочения доставчик на услуги, могат да бъдат структурирани (наред с други според случая) около следните допълнителни услуги: (i) предоставяне на приложения, инструменти, системи и ИТ инфраструктура във връзка с използваните центрове за обработка на данни, за да се предоставят и поддържат услугите, включително обработването на лични данни на субектите на данни, както е описано по-горе, чрез такива приложения, инструменти и системи, (ii) предоставяне на ИТ поддръжка, поддръжка и други услуги, свързани с такива приложения, инструменти, системи и ИТ инфраструктура, включително потенциален достъп до лични данни, съхранявани в такива приложения, инструменти и системи, и (iii) предоставяне на услуги за защита на данните, наблюдение на защитата и услуги за реакция при инциденти,включително потенциален достъп до лични данни при предоставяне на такива услуги за защита. LISTREET може да ангажира обработващи данни, както е посочено по-долу, за предоставяне на услугите, включително спомагателни услуги.

 

  •  
    • • Външни доставчици на услуги от трети страни като подсубекти, назначени за обработка на данни

 

LISTREET ангажира външни доставчици на услуги и трети страни, които не са дъщерни дружества на LISTREET, за да подкрепят предоставянето на услуги на Износителя на данни. Износителят на данни одобрява такива външни доставчици на услуги трети страни като подсубекти, назначени за обработка на данни.

 

Ако подсубект, участващ в обработката на данни, се намира извън ЕС/ЕИП, в държава, за която се счита, че няма адекватно ниво на защита на данните съгласно решение на Европейската комисия, вносителят на данни ще предприеме стъпки за получаване на адекватно ниво на защита на данните в съответствие с GDPR и раздел 3.4 (iv) на част 1.

 

 

Приложение 2, част 2

Технически и организационни защитни мерки

 

Вносителят на данни предприема следните технически и организационни мерки за защита, потвърдени от Износителя на данни, за да гарантира подходящо ниво на сигурност за правата и свободите на лицата, в зависимост от рисковете. При оценката на съответното ниво на защита, Износителят на данни е разгледал по-специално рисковете, свързани с обработването, включително случайно или незаконно унищожаване, промяна, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин. С пояснение: Тези технически и организационни мерки за защита не се отнасят за приложенията, инструментите, системите и/или ИТ инфраструктурата, предоставени от Износителя на данни.

1 Общи технически и организационни мерки за защита

1.1 Обща информация и стратегии за защита на данните

Следните стъпки трябва да бъдат предприети, за да се следват общите стратегии за защита на данните и информацията:

  • а) предприема мерки за оценка на предприетите по отношение на техническата и организационна защита;
  • б) осигурява обучение за повишаване на осведомеността сред служителите;
  • в) имат описание на съответните системи и предоставят достъп на служителите;
  • г) установяване на официален процес на документиране, когато системите се внедряват или модифицират;
  • д) документиране на организационната структура, процесите, отговорностите и съответните оценки;

1.2 Организация на защитата на информацията

Следните мерки трябва да бъдат предприети за координиране на дейностите по защита на данните и информацията:

  • а) определени отговорности за защита на информацията и данните (напр. чрез политиката за управление на защитата на данните);
  • б) необходимия експертен опит за защита на информацията и данните, които остават налични;
  • в) всички служители се ангажират да гарантират, че личните данни са поверителни и са били информирани за потенциалните последици от нарушаването на този ангажимент.

1.3 Контрол на достъпа до зони за обработка

Следните мерки трябва да бъдат взети, за да се предотврати достъп на неупълномощени лица до системи за обработка на данни (по-специално софтуер и хардуер), когато личните данни се обработват, съхраняват или предават:

  • а) установяване на защитени зони;
  • б) защита и ограничаване на достъпа до системите за обработка на данни;
  • в) установява разрешения за достъп на служители и трети лица, включително съответните документи;
  • г) всеки достъп до центрове за обработка на данни, в които се съхраняват лични данни, се регистрира.

1.4 Контрол на достъпа до системи за обработка на данни

Трябва да се вземат следните мерки, за да се предотврати неоторизиран достъп до системите за обработка на данни:

  • а) политики и процедури за удостоверяване на потребителя;
  • б) използване на пароли на всички компютърни системи;
  • в) отдалеченият достъп до мрежата изисква многофакторна автентификация и се предоставя на съответното лице в съответствие с неговите отговорности и след оторизация;
  • г) достъпът до специфични функции се основава на работни функции и/или атрибути, индивидуално присвоени на акаунта на потребителя;
  • д) правата за достъп, свързани с лични данни, се преразглеждат редовно;
  • е) записите за промени в правата за достъп се поддържат актуални.

1.5 Контрол на достъпа до определени области на използване на системи за обработка на данни

Следните мерки трябва да бъдат взети, за да се гарантира, че упълномощените лица с право да използват системата за обработка на данни имат достъп до данни само в рамките на съответните им отговорности и разрешения за достъп и че личните данни не могат да бъдат четени, копирани, променяни или изтривани без разрешение:

  1. 1 
    1. а) политики, инструкции и обучение на служителите относно задълженията на всеки от тях относно поверителността, правата на достъп до лични данни и обхвата на обработката на лични данни;
  • б) дисциплинарни мерки срещу лица, които имат достъп до лични данни без разрешение;
  • в) достъп до лични данни се предоставя само на упълномощени лица, на базата на необходимост да се знае;
  • г) поддържа списък на системните администратори и предприема подходящи мерки за наблюдение на системните администратори;
  • д) да не копира или възпроизвежда лични данни в каквато и да е система за съхранение, за да позволи на неупълномощени лица да премахнат информацията на автора;
  • е) контролирано и документирано изтриване или унищожаване на данни;
  • ж) да съхранява сигурно всички лични данни, които трябва да бъдат запазени поради законови или регулаторни причини (напр. задължения за запазване на данни) и само толкова дълго, колкото се изисква от закона.

1.6 Управление на трансмисии

Следните мерки трябва да бъдат взети, за да се предотврати четенето, копирането, промяната или изтриването на лични данни от неоторизирани трети страни по време на предаването или транспортирането на устройства за съхранение на данни (в зависимост от предприетата обработка на лични данни):

  1. 1 
    1. а) използване на защитни стени;
  • б) избягване на съхранението на лични данни на мобилни устройства за съхранение за транспортни цели или криптиране на устройствата;
  • в) използване на лаптопи и други мобилни устройства само след активиране на защитата от криптиране;
  • г) регистриране на предавания на лични данни.

1.7 Контрол на въвеждането на данни

Трябва да се вземат следните мерки, за да се гарантира, че е възможно да се провери и определи дали личните данни са били въведени или изтрити от системите за обработка на данни и от кого:

  1. 1 
    1. а) политика за разрешаване на четене, промяна и изтриване на съхранени данни;
  • б) мерки за защита относно четенето, промяната и изтриването на съхранени данни.

1.8 Контрол на работата

В случай на делегирано обработване на лични данни трябва да се вземат следните мерки, за да се гарантира, че тези данни се обработват в съответствие с инструкциите на Надзорника:

  1. 1 
    1. а) субекти или подсубекти, назначени за обработка на данни, избрани внимателно (доставчици на услуги, обработващи лични данни от името на администратора);
  • б) инструкции относно обхвата на всяка обработка на лични данни на служителите, субектите или подсубектите, определени за обработката на данни;
  • в) права за одит, договорени със субектите или подсубектите, възложени за обработка на данни;
  • г) действащи споразумения със субектите или подсубектите, на които е възложено да обработват данните.

1.9 Отделяне от обработка за други цели

Трябва да се вземат следните мерки, за да се гарантира, че данните, събрани за други цели, могат да бъдат обработвани отделно:

  1. 1 
    1. а) отделен достъп до лични данни в съответствие със съществуващите права на потребителите;
  • б) интерфейсите, пакетната обработка и отчитането са за други цели и функции, така че данните, събрани за други цели, могат да се обработват отделно.

1.10 Псевдонимизация

Трябва да се вземат следните мерки по отношение на псевдонимизирането на лични данни:

  1. 1 
    1. a) Ако Износителят на данни разпореди конкретна операция по обработване или ако това се счита за подходящо от Вносителя на данни в съответствие с действащите закони за защита на данните относно определени дейности по обработване, обработването на лични данни ще се извършва по такъв начин, че данните вече не могат да се приписват на конкретно лице без използването на допълнителна информация. Тази допълнителна информация ще се съхранява отделно;
  • б) използване на техники за псевдонимизация, включително рандомизиране на списъка за разпределение; създаване на ценности под формата на остри.

1.11 Шифроване

Следните стъпки трябва да бъдат предприети за криптиране на лични данни в приложения и предавания, които поддържат криптиране:

  1.  
    1. а) използване на техники за криптиране;
  • б) установяване на управление на криптиране в подкрепа на разрешените за използване техники за криптиране;
  • в) подпомагане на използването на криптография чрез процедури и протоколи за генериране, модифициране, отмяна, унищожаване, разпространение, сертифициране, съхраняване, улавяне, използване и архивиране на криптографски ключове за защита срещу неоторизирана модификация и разкриване.

1.12 Пълнота на системите и услугите за обработка на данни

Трябва да се вземат следните мерки, за да се гарантира пълнотата на системите и услугите за обработка на данни:

  1. 1. а) защита на системите за обработка на данни срещу манипулиране или унищожаване чрез подходящи средства (напр. антивирусен софтуер, софтуер за предотвратяване на загуба на данни и софтуер срещу злонамерен софтуер, софтуерни корекции, защитни стени и управлявана защита на работния плот);
  • б) забраняват инсталирането на всяка услуга или софтуер, вредни за системите за обработка на данни, услугите или манипулирането на лични данни;
  • в) използване на система за откриване и предотвратяване на проникване в мрежата в структурата на самата мрежа.

1.13 Наличие на системи и услуги за обработка на данни и възможност за възстановяване на достъпа и използването на лични данни в случай на материален или технически инцидент

Следните мерки трябва да бъдат взети, за да се гарантира наличието на системи за обработка на данни, както и да може бързо да се възстанови наличността и достъпа до лични данни, в случай на материален или технически инцидент (по-специално като се гарантира, че личните данни са защитени срещу случайно унищожаване или загуба):

  • а) разполагат със средства за контрол за съхраняване на резервни копия и възстановяване на загубени или изтрити данни;
  • б) инфраструктурно резервиране и тестване на производителността;
  • в) физическа защита на компютърните ресурси;
  • г) използване на инструменти за наблюдение на състоянието и наличността на вътрешната мрежа;
  • д) политики за докладване на инциденти и реагиране, уреждащи процедурата за управление на инциденти, и повтаряне на спазването на тези политики като част от редовно обучение;
  • е) архивиране (понякога извън сайта) за възстановяване на системата, за да й позволи да изпълнява функциите си отново;
  • ж) планове за непрекъснатост на бизнеса/аварийно възстановяване

1.14 Устойчивост на системите и услугите за обработка на данни

Трябва да се вземат следните мерки, за да се гарантира устойчивостта на системите и услугите за обработка на данни:

  • а) системи и хармонично конфигурирани, като се използват одобрени параметри за сигурност;
  • б) резервиране на мрежата;
  • в) херметична защита на критични системи.

1.15 Процедура за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за гарантиране на сигурността на обработката на данни

Процедура за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за защита на обработката на данни.

  • а) предприема необходимите стъпки за оценка на рисковете и стратегии за смекчаване;
  • б) срещи за анализ на услугите на ИТ отдела за решаване на текущи проблеми;
  • в) плановете за непрекъснатост на бизнеса/аварийно възстановяване се актуализират редовно.

 

част 3

Подписи на страните и списък на вносителите на данни

 

Когато попълните онлайн формуляра за поръчка и го потвърдите, като поставите отметка в квадратчето за приемане на общите условия за ползване, се установява договорът, уреждащ отношенията между Клиента и LISTREET.

Изпращането на плащането до LISTREET ще счита договора за договорен и сключен.

Обърнете внимание: Този текст е преведен от френски. Оригиналната френска версия, която е валидна и правно ограничителна, е достъпна  тук .